本發(fā)明涉及通信技術(shù)領(lǐng)域，特別涉及一種訪問控制方法和訪問令牌頒發(fā)方法、設(shè)備。

背景技術(shù)：

物聯(lián)網(wǎng)標(biāo)準(zhǔn)化組織oneM2M致力于開發(fā)用于構(gòu)造一個公共的機器對機器通信(Machine-To-Machine，M2M)服務(wù)層(Service Layer)的技術(shù)規(guī)范。oneM2M的功能架構(gòu)如圖1所示，定義了三種基本實體：

應(yīng)用實體(Application Entity，AE)：應(yīng)用實體位于應(yīng)用層，該實體可實現(xiàn)一個M2M應(yīng)用服務(wù)邏輯。

公共服務(wù)實體(Common Services Entity，CSE)：一個公共服務(wù)實體由一組M2M環(huán)境中的“公共服務(wù)功能(common service functions)”構(gòu)成。

底層網(wǎng)絡(luò)服務(wù)實體(Underlying Network Services Entity，NSE)：一個網(wǎng)絡(luò)服務(wù)實體向CSEs提供底層網(wǎng)絡(luò)服務(wù)。

oneM2M通過采用對標(biāo)準(zhǔn)的資源樹的操作實現(xiàn)服務(wù)層資源共享和交互。根據(jù)oneM2M TS-0001中關(guān)于功能架構(gòu)的定義，oneM2M資源樹的形式如圖2所示。其中，CSEBase1表示一個CSE根資源<CSEBase>，CSE1表示一個遠程CSE<remoteCSE>資源，APP1表示一個<AE>資源，CONT1和CONT2分別代表一個容器<container>資源，ACP1和ACP2分別代表一個訪問控制策略<accessControlPolicy>資源。對于oneM2M資源可進行創(chuàng)建、查詢、修改和刪除等操作。oneM2M定義的資源中與授權(quán)相關(guān)的資源為訪問控制策略<accessControlPolicy>資源，其中定義有訪問控制策略(Access Control Policy)，<accessControlPolicy>資源由資源身份標(biāo)識(ID)唯一標(biāo)識。其他資源通過資 源中的accessControlPolicyIDs屬性指定適用的訪問控制策略。

oneM2M安全解決方案技術(shù)規(guī)范(oneM2M TS-0003:Security Solutions)中給出了如圖3所示的授權(quán)架構(gòu)，該架構(gòu)中各授權(quán)實體包括：

策略執(zhí)行點(Policy Enforcement Point，PEP)實體，與需要訪問控制的應(yīng)用系統(tǒng)共存，并由應(yīng)用系統(tǒng)調(diào)用。PEP實體根據(jù)用戶的訪問請求生成相應(yīng)的訪問控制決策請求(簡稱決策請求)，發(fā)送給策略決策點(Policy Decision Point，PDP)實體，并根據(jù)PDP實體的訪問控制決策響應(yīng)確定是否執(zhí)行用戶的訪問請求。

策略決策點(Policy Decision Point，PDP)實體，根據(jù)訪問控制策略評估是否允許由PEP實體發(fā)送來的訪問控制決策請求，并將評估結(jié)果通過訪問控制決策響應(yīng)返回給PEP實體。

策略獲取點(Policy Retrieval Point，PRP)實體，根據(jù)PDP實體提供的訪問控制策略請求(簡稱策略請求)獲取適用的訪問控制策略，并將獲取的訪問控制策略通過訪問控制策略響應(yīng)返回給PDP實體。

策略信息點(Policy Information Point，PIP)實體，根據(jù)PDP實體的訪問控制策略請求獲取與用戶、資源或環(huán)境相關(guān)的屬性，例如訪問用戶的互聯(lián)網(wǎng)協(xié)議(IP)地址、資源的創(chuàng)建者、當(dāng)前的時間等，然后將獲得的各種屬性返回給PDP實體。

oneM2M的基本授權(quán)流程如下：

1、PEP實體根據(jù)用戶的訪問請求生成訪問控制決策請求(Access Control Decision Request)發(fā)送給PDP實體；

2、PDP實體根據(jù)PEP實體的訪問控制決策請求，向PRP實體發(fā)送訪問控制策略請求(Access Control Policy Request)；

3、PRP實體根據(jù)訪問控制策略請求，獲取適用的訪問控制策略并返回給PDP。

4、PDP實體根據(jù)PRP實體返回的訪問控制策略評估訪問控制決策請求， 并將評估結(jié)果攜帶在訪問控制決策響應(yīng)中返回給PEP實體。在評估過程中，若需要其他屬性，則向PIP實體發(fā)送訪問控制屬性請求，否則執(zhí)行步驟6。

5、PIP實體根據(jù)訪問控制屬性請求，獲取與訪問控制相關(guān)的屬性并返回給PDP實體。

6、PEP實體根據(jù)訪問控制決策響應(yīng)，決定是否執(zhí)行用戶的訪問請求。

在訪問控制過程中，發(fā)起方有時會具有特權(quán)，如發(fā)起方的角色信息等，這樣，PDP實體在對發(fā)起方的資源訪問請求進行評估時，不僅要基于相應(yīng)的訪問控制策略，還需要考慮該發(fā)起方具有的特權(quán)。目前oneM2M中如何基于發(fā)起方具有的特權(quán)進行訪問控制，還沒有給出具體的實現(xiàn)方法。

技術(shù)實現(xiàn)要素：

本發(fā)明實施例提供了一種訪問控制方法和訪問令牌頒發(fā)方法、設(shè)備，用于解決目前oneM2M中如何基于發(fā)起方具有的特權(quán)進行訪問控制，還沒有給出具體的實現(xiàn)方法的問題。

本發(fā)明實施例提供的一種訪問令牌頒發(fā)方法，包括：

發(fā)起方向令牌頒發(fā)實體發(fā)送訪問令牌申請請求，其中，所述訪問令牌申請請求用于請求所述令牌頒發(fā)實體為所述發(fā)起方在訪問控制過程需要使用的特權(quán)頒發(fā)訪問令牌；

所述發(fā)起方接收所述令牌頒發(fā)實體返回的訪問令牌申請響應(yīng)，以確定訪問令牌是否頒發(fā)成功。

可選的，所述發(fā)起方接收所述令牌頒發(fā)實體返回的訪問令牌申請響應(yīng)之后，所述方法還包括：

所述發(fā)起方從與所述發(fā)起方關(guān)聯(lián)的令牌資源中，獲取所述訪問令牌或者所述訪問令牌中的特權(quán)信息，其中，所述特權(quán)信息用于表示發(fā)起方在訪問控制過程能夠使用的特權(quán)。

本發(fā)明實施例提供的另一種訪問令牌頒發(fā)方法，包括：

令牌頒發(fā)實體接收發(fā)起方發(fā)送的訪問令牌申請請求，其中，所述訪問令牌申請請求用于請求所述令牌頒發(fā)實體為所述發(fā)起方在訪問控制過程需要使用的特權(quán)頒發(fā)訪問令牌；

所述令牌頒發(fā)實體根據(jù)所述訪問令牌申請請求，生成訪問令牌，并向公共服務(wù)實體CSE發(fā)送令牌資源創(chuàng)建請求，以請求所述CSE為所述訪問令牌創(chuàng)建與所述發(fā)起方關(guān)聯(lián)的令牌資源；

所述令牌頒發(fā)實體接收所述CSE返回的令牌資源創(chuàng)建響應(yīng)，以確定所述CSE是否已完成所述令牌資源的創(chuàng)建；

所述令牌頒發(fā)實體向所述發(fā)起方返回訪問令牌申請響應(yīng)，以通知所述發(fā)起方所述訪問令牌是否頒發(fā)成功。

可選的，所述令牌頒發(fā)實體接收所述發(fā)起方發(fā)送的訪問令牌申請請求之后，還包括：

所述令牌頒發(fā)實體根據(jù)本地保存的授權(quán)策略，確定是否同意所述發(fā)起方發(fā)送的訪問令牌申請請求；或者

所述令牌頒發(fā)實體通過特權(quán)授權(quán)功能實體，確定是否同意所述發(fā)起方發(fā)送的訪問令牌申請請求。

可選的，所述令牌頒發(fā)實體接收所述CSE返回的令牌資源創(chuàng)建響應(yīng)之后，所述方法還包括：

所述令牌頒發(fā)實體向所述CSE發(fā)送令牌資源修改請求，其中，所述令牌資源修改請求中攜帶所述令牌頒發(fā)實體重新為所述發(fā)起方頒發(fā)的訪問令牌；

所述令牌頒發(fā)實體接收所述CSE發(fā)送的令牌資源修改響應(yīng)，以確定所述CSE是否已完成令牌資源的修改。

本發(fā)明實施例提供的再一種訪問令牌頒發(fā)方法，包括：

公共服務(wù)實體CSE接收令牌頒發(fā)實體發(fā)送的令牌資源創(chuàng)建請求，其中，所述令牌資源創(chuàng)建請求用于請求所述CSE為所述令牌頒發(fā)實體頒發(fā)的訪問令牌創(chuàng)建令牌資源；

所述CSE根據(jù)令牌資源創(chuàng)建請求，創(chuàng)建與發(fā)起方關(guān)聯(lián)的令牌資源；

所述CSE向所述令牌頒發(fā)實體返回令牌資源創(chuàng)建響應(yīng)，以通知所述令牌頒發(fā)實體所述CSE是否已完成所述令牌資源的創(chuàng)建。

可選的，所述CSE接收令牌頒發(fā)實體發(fā)送的令牌資源創(chuàng)建請求之后，所述CSE創(chuàng)建令牌資源之前，還包括：

所述CSE根據(jù)與所述令牌頒發(fā)實體關(guān)聯(lián)的訪問控制策略，確定所述令牌頒發(fā)實體是否有權(quán)創(chuàng)建令牌資源；

所述CSE根據(jù)令牌資源創(chuàng)建請求，創(chuàng)建令牌資源，包括：所述CSE在確定所述令牌頒發(fā)實體有權(quán)創(chuàng)建令牌資源時，根據(jù)令牌資源創(chuàng)建請求，創(chuàng)建所述令牌資源。

可選的，所述CSE向所述令牌頒發(fā)實體返回令牌資源創(chuàng)建響應(yīng)之后，所述方法還包括：

所述CSE接收所述令牌頒發(fā)實體發(fā)送的令牌資源修改請求其中，其中，所述令牌資源修改請求中攜帶所述令牌頒發(fā)實體重新為所述發(fā)起方頒發(fā)的訪問令牌；

所述CSE根據(jù)所述令牌資源修改請求，對需要修改的令牌資源進行修改；

所述CSE向所述令牌頒發(fā)實體發(fā)送令牌資源修改響應(yīng)，以通知所述令牌頒發(fā)實體所述CSE是否已完成令牌資源的修改。

可選的，所述CSE接收所述令牌頒發(fā)實體發(fā)送的令牌資源創(chuàng)建請求之后，還包括：所述CSE確定出與所述發(fā)起方需要訪問的目標(biāo)資源相關(guān)聯(lián)的訪問控制策略，并根據(jù)所述訪問控制策略確定所述發(fā)起方是否有權(quán)創(chuàng)建令牌資源；

所述CSE根據(jù)令牌資源創(chuàng)建請求，創(chuàng)建與發(fā)起方關(guān)聯(lián)的令牌資源，包括：所述CSE在確定出所述發(fā)起方有權(quán)創(chuàng)建令牌資源后，根據(jù)令牌資源創(chuàng)建請求，創(chuàng)建所述發(fā)起方關(guān)聯(lián)的令牌資源。

本發(fā)明實施例提供的一種訪問控制方法，所述方法包括：

策略決策點PDP實體接收策略執(zhí)行點PEP實體發(fā)送的訪問控制決策請求；

所述PDP實體根據(jù)所述訪問控制決策請求攜帶的發(fā)起方的令牌信息，獲取所述令牌信息對應(yīng)的訪問令牌中的特權(quán)信息，并根據(jù)所述訪問控制決策請求攜帶的所述發(fā)起方需要訪問的目標(biāo)資源，獲取所述目標(biāo)資源相關(guān)聯(lián)的訪問控制策略，其中，所述特權(quán)信息用于表示所述發(fā)起方在訪問控制過程能夠使用的特權(quán)；

所述PDP實體根據(jù)訪問控制策略和所述特權(quán)信息，評估所述訪問控制決策請求，并將評估結(jié)果攜帶在訪問控制決策響應(yīng)中返回給所述PEP實體，以使所述PEP實體根據(jù)所述評估結(jié)果執(zhí)行資源訪問。

可選的，所述PDP實體根據(jù)訪問控制策略和所述特權(quán)信息，評估所述訪問控制決策請求之前，還包括：所述PDP實體驗證所述令牌信息對應(yīng)的訪問令牌的有效性；

所述PDP實體根據(jù)訪問控制策略和所述特權(quán)信息，評估所述訪問控制決策請求，包括：所述PDP實體在確定所述令牌信息對應(yīng)的訪問令牌有效后，根據(jù)訪問控制策略和所述特權(quán)信息，評估所述訪問控制決策請求。

可選的，所述令牌信息為：訪問令牌、或者訪問令牌的標(biāo)識信息。

可選的，若所述令牌信息為所述標(biāo)識信息，PDP實體接收PEP實體發(fā)送的訪問控制決策請求之后，還包括：

所述PDP實體從所述發(fā)起方關(guān)聯(lián)的令牌資源中，獲取所述訪問令牌或所述特權(quán)信息；或者

所述PDP實體通過策略信息點PIP實體，從令牌資源中獲取所述訪問令牌或所述特權(quán)信息。

本發(fā)明實施例提供的另一種訪問控制方法，包括：

策略執(zhí)行點PEP實體向策略決策點PDP實體發(fā)送訪問控制決策請求，其中，所述訪問控制決策請求是根據(jù)發(fā)起方的資源訪問請求生成的，所述訪問控制決策請求包含所述資源訪問請求中攜帶的發(fā)起方的令牌信息；

所述PEP實體接收所述PDP實體返回的訪問控制決策響應(yīng)，并根據(jù)所述 訪問控制決策響應(yīng)中攜帶的評估結(jié)果執(zhí)行資源訪問。

本發(fā)明實施例提供的一種發(fā)起方，包括：

發(fā)送模塊，用于向令牌頒發(fā)實體發(fā)送訪問令牌申請請求，其中，所述訪問令牌申請請求用于請求所述令牌頒發(fā)實體為所述發(fā)起方在訪問控制過程需要使用的特權(quán)頒發(fā)訪問令牌；

接收模塊，用于接收所述令牌頒發(fā)實體返回的訪問令牌申請響應(yīng)，以確定訪問令牌是否頒發(fā)成功。

可選的，所述發(fā)起方還包括：令牌獲取模塊，用于從與所述發(fā)起方關(guān)聯(lián)的令牌資源中，獲取所述訪問令牌或者所述訪問令牌中的特權(quán)信息，其中，所述特權(quán)信息用于表示發(fā)起方在訪問控制過程能夠使用的特權(quán)。

本發(fā)明實施例提供的一種令牌頒發(fā)實體，所述令牌頒發(fā)實體包括：

第一接收模塊，用于接收發(fā)起方發(fā)送的訪問令牌申請請求，其中，所述訪問令牌申請請求用于請求所述令牌頒發(fā)實體為所述發(fā)起方在訪問控制過程需要使用的特權(quán)頒發(fā)訪問令牌；

令牌頒發(fā)模塊，用于根據(jù)所述訪問令牌申請請求，生成訪問令牌；

第一發(fā)送模塊，用于向公共服務(wù)實體CSE發(fā)送令牌資源創(chuàng)建請求，以請求所述CSE為所述訪問令牌創(chuàng)建與所述發(fā)起方關(guān)聯(lián)的令牌資源；

第二接收模塊，用于接收所述CSE返回的令牌資源創(chuàng)建響應(yīng)，以確定所述CSE是否已完成所述令牌資源的創(chuàng)建；

第二發(fā)送模塊，用于向所述發(fā)起方返回訪問令牌申請響應(yīng)，以通知所述發(fā)起方所述訪問令牌是否頒發(fā)成功。

可選的，所述令牌頒發(fā)模塊還用于：根據(jù)本地保存的授權(quán)策略，確定是否同意所述發(fā)起方發(fā)送的訪問令牌申請請求；或者通過特權(quán)授權(quán)功能實體，確定是否同意所述發(fā)起方發(fā)送的訪問令牌申請請求。

可選的，所述第一發(fā)送模塊還用于：向所述CSE發(fā)送令牌資源修改請求，其中，所述令牌資源修改請求中攜帶所述令牌頒發(fā)實體重新為所述發(fā)起方頒發(fā) 的訪問令牌；

所述第二接收模塊還用于：接收所述CSE發(fā)送的令牌資源修改響應(yīng)，以確定所述CSE是否已完成令牌資源的修改。

本發(fā)明實施例提供的一種公共服務(wù)實體CSE，包括：

接收模塊，用于接收令牌頒發(fā)實體發(fā)送的令牌資源創(chuàng)建請求，其中，所述令牌資源創(chuàng)建請求用于請求所述CSE為所述令牌頒發(fā)實體頒發(fā)的訪問令牌創(chuàng)建令牌資源；

資源創(chuàng)建模塊，用于根據(jù)令牌資源創(chuàng)建請求，創(chuàng)建與發(fā)起方關(guān)聯(lián)的令牌資源；

發(fā)送模塊，用于向所述令牌頒發(fā)實體返回令牌資源創(chuàng)建響應(yīng)，以通知所述令牌頒發(fā)實體所述CSE是否已完成所述令牌資源的創(chuàng)建。

可選的，所述資源創(chuàng)建模塊具體用于：根據(jù)與所述令牌頒發(fā)實體關(guān)聯(lián)的訪問控制策略，確定所述令牌頒發(fā)實體是否有權(quán)創(chuàng)建令牌資源；在確定所述令牌頒發(fā)實體有權(quán)創(chuàng)建令牌資源時，根據(jù)令牌資源創(chuàng)建請求，創(chuàng)建所述令牌資源。

可選的，所述接收模塊還用于：接收所述令牌頒發(fā)實體發(fā)送的令牌資源修改請求其中，其中，所述令牌資源修改請求中攜帶所述令牌頒發(fā)實體重新為所述發(fā)起方頒發(fā)的訪問令牌；

所述資源創(chuàng)建模塊還用于：根據(jù)所述令牌資源修改請求，對需要修改的令牌資源進行修改；

所述發(fā)送模塊還用于：向所述令牌頒發(fā)實體發(fā)送令牌資源修改響應(yīng)，以通知所述令牌頒發(fā)實體所述CSE是否已完成令牌資源的修改。

可選的，所述資源創(chuàng)建模塊具體用于：確定出與所述發(fā)起方需要訪問的目標(biāo)資源相關(guān)聯(lián)的訪問控制策略，并根據(jù)所述訪問控制策略確定所述發(fā)起方是否有權(quán)創(chuàng)建令牌資源；在確定出所述發(fā)起方有權(quán)創(chuàng)建令牌資源后，根據(jù)令牌資源創(chuàng)建請求，創(chuàng)建所述發(fā)起方關(guān)聯(lián)的令牌資源。

本發(fā)明實施例提供的一種策略決策點PDP實體，包括：

接收模塊，用于接收策略執(zhí)行點PEP實體發(fā)送的訪問控制決策請求；

獲取模塊，用于根據(jù)所述訪問控制決策請求攜帶的發(fā)起方的令牌信息，獲取所述令牌信息對應(yīng)的訪問令牌中的特權(quán)信息，并根據(jù)所述訪問控制決策請求攜帶的所述發(fā)起方需要訪問的目標(biāo)資源，獲取所述目標(biāo)資源相關(guān)聯(lián)的訪問控制策略，其中，所述特權(quán)信息用于表示所述發(fā)起方在訪問控制過程能夠使用的特權(quán)；

評估模塊，用于根據(jù)訪問控制策略和所述特權(quán)信息，評估所述訪問控制決策請求，并將評估結(jié)果攜帶在訪問控制決策響應(yīng)中返回給所述PEP實體，以使所述PEP實體根據(jù)所述評估結(jié)果執(zhí)行資源訪問。

可選的，所述評估模塊具體用于：驗證所述令牌信息對應(yīng)的訪問令牌的有效性；在確定所述令牌信息對應(yīng)的訪問令牌有效后，根據(jù)訪問控制策略和所述特權(quán)信息，評估所述訪問控制決策請求。

可選的，若所述令牌信息為所述標(biāo)識信息，所述獲取模塊還用于：從所述發(fā)起方關(guān)聯(lián)的令牌資源中，獲取所述訪問令牌或所述特權(quán)信息；或者通過策略信息點PIP實體，從令牌資源中獲取所述訪問令牌或所述特權(quán)信息。

本發(fā)明實施例提供的一種策略執(zhí)行點PEP實體，包括：

發(fā)送模塊，用于向策略決策點PDP實體發(fā)送訪問控制決策請求，其中，所述訪問控制決策請求是根據(jù)發(fā)起方的資源訪問請求生成的，所述訪問控制決策請求包含所述資源訪問請求中攜帶的發(fā)起方的令牌信息；

接收模塊，用于接收所述PDP實體返回的訪問控制決策響應(yīng)；

訪問控制模塊，用于根據(jù)所述訪問控制決策響應(yīng)中攜帶的評估結(jié)果，執(zhí)行資源訪問。

本發(fā)明實施例提供的另一種發(fā)起方包括處理器、輸入接口、輸出接口、存儲器和系統(tǒng)總線；其中：

所述輸出接口在所述處理器的控制下，向令牌頒發(fā)實體發(fā)送訪問令牌申請請求，其中，所述訪問令牌申請請求用于請求所述令牌頒發(fā)實體為所述發(fā)起方 在訪問控制過程需要使用的特權(quán)頒發(fā)訪問令牌；

所述輸入接口在所述處理器的控制下，接收所述令牌頒發(fā)實體返回的訪問令牌申請響應(yīng)，以確定訪問令牌是否頒發(fā)成功。

可選的，所述處理器讀取存儲器中的程序，用于執(zhí)行：從與所述發(fā)起方關(guān)聯(lián)的令牌資源中，獲取所述訪問令牌或者所述訪問令牌中的特權(quán)信息，其中，所述特權(quán)信息用于表示發(fā)起方在訪問控制過程能夠使用的特權(quán)。

本發(fā)明實施例提供的另一種令牌頒發(fā)實體包括：處理器、輸入接口、輸出接口、存儲器和系統(tǒng)總線；其中：

所述輸入接口在處理器的控制下，接收發(fā)起方發(fā)送的訪問令牌申請請求，其中，所述訪問令牌申請請求用于請求所述令牌頒發(fā)實體為所述發(fā)起方在訪問控制過程需要使用的特權(quán)頒發(fā)訪問令牌；

所述處理器讀取存儲器中的程序，用于執(zhí)行：根據(jù)所述訪問令牌申請請求，生成訪問令牌；并控制所述輸出接口向公共服務(wù)實體CSE發(fā)送令牌資源創(chuàng)建請求，以請求所述CSE為所述訪問令牌創(chuàng)建與所述發(fā)起方關(guān)聯(lián)的令牌資源；

所述輸入接口在所述處理器的控制下，接收所述CSE返回的令牌資源創(chuàng)建響應(yīng)，以確定所述CSE是否已完成所述令牌資源的創(chuàng)建；

所述輸出接口在所述處理器的控制下，向所述發(fā)起方返回訪問令牌申請響應(yīng)，以通知所述發(fā)起方所述訪問令牌是否頒發(fā)成功。

可選的，所述處理器還執(zhí)行：根據(jù)本地保存的授權(quán)策略，確定是否同意所述發(fā)起方發(fā)送的訪問令牌申請請求；或者通過特權(quán)授權(quán)功能實體，確定是否同意所述發(fā)起方發(fā)送的訪問令牌申請請求。

可選的，所述輸出接口在所述處理器的控制下，還向所述CSE發(fā)送令牌資源修改請求，其中，所述令牌資源修改請求中攜帶所述令牌頒發(fā)實體重新為所述發(fā)起方頒發(fā)的訪問令牌；

所述輸入接口在所述處理器的控制下，還接收所述CSE發(fā)送的令牌資源修改響應(yīng)，以確定所述CSE是否已完成令牌資源的修改。

本發(fā)明實施例提供的另一種CSE，包括：處理器、輸入接口、輸出接口、存儲器和系統(tǒng)總線；其中：

所述輸入接口在處理器的控制下，接收令牌頒發(fā)實體發(fā)送的令牌資源創(chuàng)建請求，其中，所述令牌資源創(chuàng)建請求用于請求所述CSE為所述令牌頒發(fā)實體頒發(fā)的訪問令牌創(chuàng)建令牌資源；

所述處理器讀取存儲器中的程序，用于執(zhí)行：根據(jù)令牌資源創(chuàng)建請求，創(chuàng)建與發(fā)起方關(guān)聯(lián)的令牌資源；并控制所述輸出接口向所述令牌頒發(fā)實體返回令牌資源創(chuàng)建響應(yīng)，以通知所述令牌頒發(fā)實體所述CSE是否已完成所述令牌資源的創(chuàng)建。

可選的，所述處理器具體執(zhí)行：根據(jù)與所述令牌頒發(fā)實體關(guān)聯(lián)的訪問控制策略，確定所述令牌頒發(fā)實體是否有權(quán)創(chuàng)建令牌資源；在確定所述令牌頒發(fā)實體有權(quán)創(chuàng)建令牌資源時，根據(jù)令牌資源創(chuàng)建請求，創(chuàng)建所述令牌資源。

可選的，所述輸入接口在處理器的控制下，還接收所述令牌頒發(fā)實體發(fā)送的令牌資源修改請求其中，其中，所述令牌資源修改請求中攜帶所述令牌頒發(fā)實體重新為所述發(fā)起方頒發(fā)的訪問令牌；

所述處理器還執(zhí)行：根據(jù)所述令牌資源修改請求，對需要修改的令牌資源進行修改；并控制所述輸出接口向所述令牌頒發(fā)實體發(fā)送令牌資源修改響應(yīng)，以通知所述令牌頒發(fā)實體所述CSE是否已完成令牌資源的修改。

可選的，所述處理器具體執(zhí)行：確定出與所述發(fā)起方需要訪問的目標(biāo)資源相關(guān)聯(lián)的訪問控制策略，并根據(jù)所述訪問控制策略確定所述發(fā)起方是否有權(quán)創(chuàng)建令牌資源；在確定出所述發(fā)起方有權(quán)創(chuàng)建令牌資源后，根據(jù)令牌資源創(chuàng)建請求，創(chuàng)建所述發(fā)起方關(guān)聯(lián)的令牌資源。

本發(fā)明實施例提供另一種PDP實體，包括：處理器、輸入接口、輸出接口、存儲器和系統(tǒng)總線；其中：

所述輸入接口在處理器的控制下，接收策略執(zhí)行點PEP實體發(fā)送的訪問控制決策請求；

所述處理器讀取存儲器中的程序，用于執(zhí)行：根據(jù)所述訪問控制決策請求攜帶的發(fā)起方的令牌信息，獲取所述令牌信息對應(yīng)的訪問令牌中的特權(quán)信息，并根據(jù)所述訪問控制決策請求攜帶的所述發(fā)起方需要訪問的目標(biāo)資源，獲取所述目標(biāo)資源相關(guān)聯(lián)的訪問控制策略，其中，所述特權(quán)信息用于表示所述發(fā)起方在訪問控制過程能夠使用的特權(quán)；根據(jù)訪問控制策略和所述特權(quán)信息，評估所述訪問控制決策請求，并將評估結(jié)果攜帶在訪問控制決策響應(yīng)中，通過所述輸出接口返回給所述PEP實體，以使所述PEP實體根據(jù)所述評估結(jié)果執(zhí)行資源訪問。

可選的，所述處理器具體執(zhí)行：驗證所述令牌信息對應(yīng)的訪問令牌的有效性；在確定所述令牌信息對應(yīng)的訪問令牌有效后，根據(jù)訪問控制策略和所述特權(quán)信息，評估所述訪問控制決策請求。

可選的，若所述令牌信息為所述標(biāo)識信息，所述處理器還執(zhí)行：從所述發(fā)起方關(guān)聯(lián)的令牌資源中，獲取所述訪問令牌或所述特權(quán)信息；或者通過策略信息點PIP實體，從令牌資源中獲取所述訪問令牌或所述特權(quán)信息。

本發(fā)明實施例提供另一種PEP實體，包括：處理器、輸入接口、輸出接口、存儲器和系統(tǒng)總線；其中：

所述輸出接口在處理器的控制下，向PDP實體發(fā)送訪問控制決策請求，其中，所述訪問控制決策請求是根據(jù)發(fā)起方的資源訪問請求生成的，所述訪問控制決策請求包含所述資源訪問請求中攜帶的發(fā)起方的令牌信息；

所述輸入接口在處理器的控制下，接收所述PDP實體返回的訪問控制決策響應(yīng)；

所述處理器讀取存儲器中的程序，用于執(zhí)行：根據(jù)所述訪問控制決策響應(yīng)中攜帶的評估結(jié)果，執(zhí)行資源訪問。

基于上述任一實施例，本發(fā)明實施例中，所述令牌資源具有：

令牌標(biāo)識屬性，用于存儲訪問令牌的標(biāo)識信息；

令牌頒發(fā)者屬性，用于存儲訪問令牌頒發(fā)者的標(biāo)識信息；

起始時間屬性，用于存儲訪問令牌的有效期的起始時間；

結(jié)束時間屬性，用于存儲訪問令牌的有效期的結(jié)束時間；

令牌值屬性，用于存儲訪問令牌或訪問令牌中的特權(quán)信息。

可選的，所述令牌資源還具有以下至少一個屬性：

令牌類型屬性，用于存儲訪問令牌的類型信息；

令牌名字屬性，用于存儲訪問令牌的可閱讀名字；

應(yīng)用類別屬性，用于存儲訪問令牌適用的應(yīng)用類別。

可選的，所述令牌資源為所述發(fā)起方的注冊資源的子資源。

基于上述任一實施例，本發(fā)明實施例中，所述訪問令牌包括以下內(nèi)容：

所述訪問令牌的標(biāo)識信息、所述訪問令牌頒發(fā)者的標(biāo)識信息、所述訪問令牌所有者的標(biāo)識信息、所述訪問令牌的有效期的起始時間、所述訪問令牌的有效期的結(jié)束時間、以及所述特權(quán)信息。

可選的，所述訪問令牌還包括以下至少一項內(nèi)容：

所述訪問令牌的類型信息、所述訪問令牌的可閱讀名字、所述訪問令牌適用的應(yīng)用類別、以及應(yīng)用系統(tǒng)定義的所述訪問令牌的內(nèi)容。

本發(fā)明實施例提供的令牌頒發(fā)方法和設(shè)備中，發(fā)起方向令牌頒發(fā)實體發(fā)送訪問令牌申請請求，以請求令牌頒發(fā)實體為所述發(fā)起方在訪問控制過程需要使用的特權(quán)頒發(fā)訪問令牌；令牌頒發(fā)實體根據(jù)所述訪問令牌申請請求，生成訪問令牌，并向公共服務(wù)實體CSE發(fā)送令牌資源創(chuàng)建請求，以請求所述CSE為所述訪問令牌創(chuàng)建與所述發(fā)起方關(guān)聯(lián)的令牌資源；CSE根據(jù)令牌資源創(chuàng)建請求，創(chuàng)建與發(fā)起方關(guān)聯(lián)的令牌資源，從而已完成訪問令牌的頒發(fā)過程，實現(xiàn)了訪問令牌的動態(tài)頒發(fā)，以使PDP實體能夠基于訪問控制策略和訪問令牌，對發(fā)起方的資源訪問請求進行評估，以確定是否允許發(fā)起方對目標(biāo)資源的訪問。

本發(fā)明實施例提供的訪問控制方法和設(shè)備中，PDP實體接收到PEP實體發(fā)送的訪問控制決策請求后，根據(jù)所述令牌信息，獲取所述令牌信息對應(yīng)的訪問令牌中的特權(quán)信息，并根據(jù)所述訪問控制決策請求攜帶的所述發(fā)起方需要訪問 的目標(biāo)資源，獲取所述目標(biāo)資源相關(guān)聯(lián)的訪問控制策略；PDP實體根據(jù)訪問控制策略和所述特權(quán)信息，評估所述訪問控制決策請求，并將評估結(jié)果攜帶在訪問控制決策響應(yīng)中返回給所述PEP實體，以使所述PEP實體根據(jù)所述評估結(jié)果執(zhí)行資源訪問。由于PDP實體基于訪問控制策略和特權(quán)信息，對訪問控制決策請求進行評估，以確定是否允許發(fā)起方對目標(biāo)資源的訪問，從而實現(xiàn)了基于訪問令牌的訪問控制過程。

附圖說明

圖1為oneM2M的功能架構(gòu)的示意圖；

圖2為oneM2M資源樹的結(jié)構(gòu)示意圖；

圖3為oneM2M的授權(quán)架構(gòu)的示意圖；

圖4為本發(fā)明實施例中的訪問令牌的結(jié)構(gòu)示意圖；

圖5為本發(fā)明實施例中的令牌資源的結(jié)構(gòu)示意圖；

圖6為本發(fā)明實施例中的<AE>資源的結(jié)構(gòu)示意圖；

圖7為本發(fā)明實施例中一種訪問令牌頒發(fā)方法的流程示意圖；

圖8為本發(fā)明實施例中另一種訪問令牌頒發(fā)方法的流程示意圖；

圖9為本發(fā)明實施例中再一種訪問令牌頒發(fā)方法的流程示意圖；

圖10為本發(fā)明實施例中一種訪問控制方法的流程示意圖；

圖11為本發(fā)明實施例中另一種訪問控制方法的流程示意圖；

圖12為本發(fā)明實施例中各實體之間的連接關(guān)系示意圖；

圖13為本發(fā)明實施例中各實體之間的交互過程的示意圖；

圖14為本發(fā)明實施例中的實施例一中各實體之間的連接關(guān)系示意圖；

圖15為本發(fā)明實施例中的實施例一中的資源樹的示意圖；

圖16為本發(fā)明實施例中的實施例一中訪問令牌的頒發(fā)和使用過程的示意圖；

圖17為本發(fā)明實施例中的一種發(fā)起方的示意圖；

圖18為本發(fā)明實施例中的一種令牌頒發(fā)實體的示意圖；

圖19為本發(fā)明實施例中的一種CSE的示意圖；

圖20為本發(fā)明實施例中的一種PDP實體的示意圖；

圖21為本發(fā)明實施例中的一種PEP實體的示意圖；

圖22為本發(fā)明實施例中的另一種發(fā)起方的示意圖；

圖23為本發(fā)明實施例中的另一種令牌頒發(fā)實體的示意圖；

圖24為本發(fā)明實施例中的另一種CSE的示意圖；

圖25為本發(fā)明實施例中的另一種PDP實體的示意圖；

圖26為本發(fā)明實施例中的另一種PEP實體的示意圖。

具體實施方式

本發(fā)明實施例中，通過定義訪問令牌，以使在訪問控制過程中，PDP實體基于訪問控制策略和訪問令牌，對發(fā)起方的資源訪問請求進行評估，以確定是否允許發(fā)起方對目標(biāo)資源的訪問，實現(xiàn)了動態(tài)授權(quán)訪問令牌，也實現(xiàn)了基于訪問令牌的訪問控制方案。

首先對本發(fā)明實施例中涉及到的訪問令牌和令牌資源進行說明。

一、訪問令牌，即與訪問控制相關(guān)的令牌，該訪問令牌的結(jié)構(gòu)以及內(nèi)部存儲的信息如圖4所示，訪問令牌內(nèi)存儲的主要信息包括：

令牌標(biāo)識(tokenID)，即訪問令牌的標(biāo)識信息，用于唯一標(biāo)識該訪問令牌；

所有者標(biāo)識(holderID)，即訪問令牌所有者的標(biāo)識信息；

頒發(fā)者(issuer)，即訪問令牌頒發(fā)者的標(biāo)識信息；

起始時間(startTime)，即訪問令牌的有效期的起始時間；

結(jié)束時間(expiryTime)，即訪問令牌的有效期的結(jié)束時間；以及

特權(quán)(privileges)，用于表示發(fā)起方在訪問控制過程能夠使用的特權(quán)信息，例如角色列表，訪問控制列表等。其中，發(fā)起方為發(fā)起資源訪問的實體，發(fā)起方可以為AE或CSE等實體。

可選的，訪問令牌內(nèi)還存儲如下信息中的至少一種：

令牌類型(tokenType)，即訪問令牌的類型信息，該信息根據(jù)應(yīng)用系統(tǒng)設(shè)計的令牌種類，例如攜帶角色的角色令牌、攜帶針對某個發(fā)起方所擁有的特權(quán)的令牌、oneM2M服務(wù)提供商(M2M Service Provider)定義的服務(wù)簽約角色(Service Subscription Role)令牌、由oneM2M應(yīng)用服務(wù)提供商(M2M Application Service Provider)定義的與某具體應(yīng)用相關(guān)的應(yīng)用令牌等。

令牌可閱讀名字(tokenName)，即該訪問令牌的可閱讀名字；

訪問令牌適用的應(yīng)用類別(appCategory)，即該訪問令牌適用的應(yīng)用類別，可以是該訪問令牌適用的應(yīng)用類別，例如設(shè)備管理應(yīng)用，智能家居應(yīng)用，智能交通應(yīng)用等。發(fā)起方可根據(jù)該內(nèi)容，選擇與當(dāng)前資源訪問所屬的應(yīng)用類別匹配的訪問令牌，以用于對目標(biāo)資源的訪問控制過程；

擴展(extensions)，即應(yīng)用系統(tǒng)自定義的該訪問令牌的內(nèi)容，應(yīng)用系統(tǒng)可根據(jù)實際需要自行定義的令牌內(nèi)容。

二、令牌資源，本發(fā)明實施例定義了新的oneM2M資源——令牌資源(即<token>資源)，用以在CSE資源樹中存儲用于訪問控制的訪問令牌(或該訪問令牌中的用于表示發(fā)起方在訪問控制過程能夠使用的特權(quán)的特權(quán)信息)，以及及其相關(guān)的描述信息，并重新定義了<CSEBase>資源，<remoteCSE>占用和<AE>資源等三個資源，以便它們能夠使用新定義的<token>資源存儲頒發(fā)給它們的訪問令牌。

新定義的<token>資源的基本結(jié)構(gòu)如圖5所示，其資源類型為oneM2M普通資源(Normal Resource)。<token>資源除了包含oneM2M普通資源所共有的通用屬性(Universal Attribute)外，還包含有公共屬性(Common Attribute)有效時間(expirationTime)和子資源<subscription>資源(也稱為簽約資源)。每個<token>資源實例用于描述一個訪問令牌，以方便資源管理和令牌使用。<token>資源新定義的資源具有如下屬性：

令牌標(biāo)識(tokenID)屬性，用于存儲訪問令牌的標(biāo)識信息，該標(biāo)識信息用 于唯一標(biāo)識一個訪問令牌；

頒發(fā)者(issuer)屬性，用于存儲訪問令牌的頒發(fā)者的標(biāo)識信息；

起始時間(startTime)屬性，用于存儲訪問令牌的有效起始時間；

結(jié)束時間(expiryTime)屬性，用于存儲訪問令牌的有效結(jié)束時間；

令牌值(tokenValue)屬性：用于存儲訪問令牌或訪問令牌中的特權(quán)信息。

可選的，令牌資源還具有以下至少一個屬性：

令牌類型(tokenType)屬性，用于存儲訪問令牌的類型信息，該信息根據(jù)應(yīng)用系統(tǒng)設(shè)計的令牌種類，例如攜帶角色的角色令牌、攜帶針對某個發(fā)起方所擁有的特權(quán)的令牌、oneM2M服務(wù)提供商定義的服務(wù)簽約角色令牌、由oneM2M應(yīng)用服務(wù)提供商定義的與某具體應(yīng)用相關(guān)的應(yīng)用令牌等；

令牌名字(tokenName)屬性，用于存儲訪問令牌的可閱讀名字；

應(yīng)用類別(appCategory)屬性，用于存儲訪問令牌適用的應(yīng)用類別，例如設(shè)備管理應(yīng)用，智能家居應(yīng)用，智能交通應(yīng)用等。可選的，發(fā)起方可根據(jù)該內(nèi)容確定應(yīng)該選用相應(yīng)的令牌用于具體的資源訪問。

舉例說明，重新定義的<AE>資源的結(jié)構(gòu)如圖6所示，只是增加了<token>資源作為其子資源，<AE>資源下<token>子資源的數(shù)量可以為0或n個(n為大于或等于1的整數(shù))，用于表示那些特權(quán)privileges已經(jīng)賦給了該AE。

<CSEBase>資源和<remoteCSEBase>資源的重定義情況與<AE>的重定義類似，也即僅是在他們的資源樹下增加了<token>資源作為其子資源，且子資源的數(shù)量可以為0或n個(n為大于或等于1的整數(shù))。

本發(fā)明實施例中，令牌資源是與發(fā)起方相關(guān)聯(lián)的資源，可以創(chuàng)建在CSE中發(fā)起方的注冊資源中，作為該發(fā)起方的注冊資源的子資源；也可以創(chuàng)建在CSE中的發(fā)起方的非注冊資源，作為該發(fā)起方的非注冊資源的子資源。

需要說明的是，若令牌資源創(chuàng)建在發(fā)起方的非注冊資源中，創(chuàng)建該令牌資源的CSE或令牌頒發(fā)實體還需要執(zhí)行：

將該令牌資源的創(chuàng)建地址通知給發(fā)起方，以使發(fā)起方能夠根據(jù)創(chuàng)建地址， 讀取到該令牌資源中的訪問令牌和/或該訪問令牌的相關(guān)的信息；以及

將該令牌資源的創(chuàng)建地址通知給PDP實體或PIP實體，以使PDP實體或PIP實體能夠根據(jù)創(chuàng)建地址，讀取到該令牌資源中的訪問令牌和/或該訪問令牌的相關(guān)的信息。

下面結(jié)合說明書附圖對本發(fā)明實施例作進一步詳細描述。應(yīng)當(dāng)理解，此處所描述的實施例僅用于說明和解釋本發(fā)明，并不用于限定本發(fā)明。

本發(fā)明實施例提供的一種發(fā)起方側(cè)的訪問令牌頒發(fā)方法，如圖7所示，所述方法包括：

S71、發(fā)起方向令牌頒發(fā)實體發(fā)送訪問令牌申請請求，其中，所述訪問令牌申請請求用于請求令牌頒發(fā)實體為發(fā)起方在訪問控制過程需要使用的特權(quán)頒發(fā)訪問令牌；

其中，令牌頒發(fā)實體為發(fā)起方所頒發(fā)的訪問令牌用于該發(fā)起方的訪問控制過程中。

本發(fā)明實施例中，令牌頒發(fā)(Token Authority)實體負責(zé)向發(fā)起方(AE或CSE等)頒發(fā)訪問令牌。

S72、發(fā)起方接收令牌頒發(fā)實體返回的訪問令牌申請響應(yīng)，以確定訪問令牌是否頒發(fā)成功。

本發(fā)明實施例中，發(fā)起方向令牌頒發(fā)實體發(fā)送訪問令牌申請請求，以請求令牌頒發(fā)實體為所述發(fā)起方在訪問控制過程需要使用的特權(quán)頒發(fā)訪問令牌，實現(xiàn)了訪問令牌的動態(tài)頒發(fā)，以使PDP實體能夠基于訪問控制策略和訪問令牌，對發(fā)起方的資源訪問請求進行評估，以確定是否允許發(fā)起方對目標(biāo)資源的訪問。

本發(fā)明實施例中，在訪問令牌成功頒發(fā)之后，所述發(fā)起方還可以從與該發(fā)起方關(guān)聯(lián)的令牌資源中，獲取所述訪問令牌、或者所述訪問令牌中的特權(quán)信息，以及所述訪問令牌的相關(guān)信息(如有效起始時間等)。

基于同一發(fā)明構(gòu)思，本發(fā)明實施例提供了一種令牌頒發(fā)實體側(cè)的訪問令牌 頒發(fā)方法，與發(fā)起方側(cè)相同的部分，具體參見如7所示實施例中的相關(guān)描述，此處不再贅述。如圖8所示，該方法包括：

S81、令牌頒發(fā)實體接收發(fā)起方發(fā)送的訪問令牌申請請求，其中，所述訪問令牌申請請求用于請求令牌頒發(fā)實體為發(fā)起方在訪問控制過程需要使用的特權(quán)頒發(fā)訪問令牌。

S82、令牌頒發(fā)實體根據(jù)所述訪問令牌申請請求，生成訪問令牌，并向CSE發(fā)送令牌資源創(chuàng)建請求，以請求CSE為所述訪問令牌創(chuàng)建與發(fā)起方關(guān)聯(lián)的令牌資源。

本發(fā)明實施例中所涉及的CSE為任意一個保存有發(fā)起方相關(guān)聯(lián)的資源且能夠在該發(fā)起方的資源下創(chuàng)建令牌資源的CSE。舉例說明，令牌頒發(fā)實體可以向注冊響應(yīng)CSE(Registrar CSE)發(fā)起令牌資源創(chuàng)建請求，以請求注冊響應(yīng)CSE在該發(fā)起方的注冊資源下創(chuàng)建令牌資源。

S83、令牌頒發(fā)實體接收CSE返回的令牌資源創(chuàng)建響應(yīng)，以確定CSE是否已完成所述令牌資源的創(chuàng)建。

S84、令牌頒發(fā)實體向發(fā)起方返回訪問令牌申請響應(yīng)，以通知發(fā)起方所述訪問令牌是否頒發(fā)成功。

本發(fā)明實施例中，令牌頒發(fā)實體在接收到發(fā)起方發(fā)送的訪問令牌申請請求后，生成訪問令牌，并請求CSE為所述訪問令牌創(chuàng)建與發(fā)起方關(guān)聯(lián)的令牌資源，實現(xiàn)了訪問令牌的動態(tài)頒發(fā)，以使PDP實體能夠基于訪問控制策略和訪問令牌，對發(fā)起方的資源訪問請求進行評估，以確定是否允許發(fā)起方對目標(biāo)資源的訪問。

可選的，令牌頒發(fā)實體接收發(fā)起方發(fā)送的訪問令牌申請請求之后，還包括：

令牌頒發(fā)實體根據(jù)本地保存的授權(quán)策略，確定是否同意發(fā)起方發(fā)送的訪問令牌申請請求；或者

令牌頒發(fā)實體通過特權(quán)授權(quán)功能實體，確定是否同意發(fā)起方發(fā)送的訪問令牌申請請求。

其中，特權(quán)授權(quán)功能(Privilege Authorization Function)可提供確認是否同意發(fā)起方所申請的用于訪問控制的特權(quán)的能力，實現(xiàn)該能力的具體方式可由應(yīng)用系統(tǒng)確定，例如僅提供相關(guān)的授權(quán)策略，然后由令牌頒發(fā)實體執(zhí)行具體的特權(quán)授權(quán)檢查，或者根據(jù)授權(quán)策略評估發(fā)起方的訪問令牌申請請求，然后將評估結(jié)果返回給令牌頒發(fā)實體，或者是一個有人參加的評估過程等。

基于上述任一實施例，令牌頒發(fā)實體接收CSE返回的令牌資源創(chuàng)建響應(yīng)之后，該方法還包括：

令牌頒發(fā)實體向CSE發(fā)送令牌資源修改請求，其中，令牌資源修改請求中攜帶令牌頒發(fā)實體重新為發(fā)起方頒發(fā)的訪問令牌；

令牌頒發(fā)實體接收CSE發(fā)送的令牌資源修改響應(yīng)，以確定CSE是否已完成令牌資源的修改。

基于同一發(fā)明構(gòu)思，本發(fā)明實施例提供了一種CSE側(cè)的訪問令牌頒發(fā)方法，與令牌頒發(fā)實體側(cè)相同的部分，具體參見如8所示實施例中的相關(guān)描述，此處不再贅述。如圖9所示，該方法包括：

S91、CSE接收令牌頒發(fā)實體發(fā)送的令牌資源創(chuàng)建請求，其中，所述令牌資源創(chuàng)建請求用于請求CSE為令牌頒發(fā)實體頒發(fā)的訪問令牌創(chuàng)建令牌資源；

S92、CSE根據(jù)令牌資源創(chuàng)建請求，創(chuàng)建與發(fā)起方關(guān)聯(lián)的令牌資源；

S93、CSE向令牌頒發(fā)實體返回令牌資源創(chuàng)建響應(yīng)，以通知令牌頒發(fā)實體CSE是否已完成所述令牌資源的創(chuàng)建。

本發(fā)明實施例中，CSE在接收到令牌頒發(fā)實體發(fā)送的令牌資源創(chuàng)建請求后，為令牌頒發(fā)實體頒發(fā)的訪問令牌創(chuàng)建與發(fā)起方關(guān)聯(lián)的令牌資源，實現(xiàn)了訪問令牌的動態(tài)頒發(fā)，以使PDP實體能夠基于訪問控制策略和訪問令牌，對發(fā)起方的資源訪問請求進行評估，以確定是否允許發(fā)起方對目標(biāo)資源的訪問。

本發(fā)明實施例中，令牌資源創(chuàng)建請求中攜帶創(chuàng)建令牌資源所需的信息，具體包括：訪問令牌的標(biāo)識信息、訪問令牌頒發(fā)者的標(biāo)識信息、訪問令牌所有者的標(biāo)識信息、訪問令牌的有效期的起始時間、訪問令牌的有效期的結(jié)束時間、 以及特權(quán)信息。

可選的，令牌資源創(chuàng)建請求中還攜帶以下至少一種信息：訪問令牌的類型信息、訪問令牌的可閱讀名字、訪問令牌適用的應(yīng)用類別、以及應(yīng)用系統(tǒng)定義的訪問令牌的內(nèi)容。

基于上述任一實施例，本發(fā)明實施例中，S91中CSE接收令牌頒發(fā)實體發(fā)送的令牌資源創(chuàng)建請求之后，還包括：

CSE確定出與發(fā)起方需要訪問的目標(biāo)資源相關(guān)聯(lián)的訪問控制策略，并根據(jù)確定出的訪問控制策略確定發(fā)起方是否有權(quán)創(chuàng)建令牌資源。

相應(yīng)的，S92具體包括：CSE在確定出發(fā)起方有權(quán)創(chuàng)建令牌資源后，根據(jù)令牌資源創(chuàng)建請求中攜帶的創(chuàng)建令牌資源所需的信息，創(chuàng)建與發(fā)起方關(guān)聯(lián)的令牌資源。

本發(fā)明實施例中，在訪問令牌頒發(fā)之后，可將所頒發(fā)的訪問令牌用于發(fā)起方對目標(biāo)資源的訪問控制過程中，下面對本發(fā)明實施例提供的基于訪問令牌的訪問控制過程進行說明。

基于同一發(fā)明構(gòu)思，本發(fā)明實施例提供的一種PDP實體側(cè)的訪問控制方法，如圖10所示，所述方法包括：

S101、PDP實體接收PEP實體發(fā)送的訪問控制決策請求；

S102、PDP實體根據(jù)訪問控制決策請求攜帶的發(fā)起方的令牌信息，獲取該令牌信息對應(yīng)的訪問令牌中的特權(quán)信息，并根據(jù)訪問控制決策請求攜帶的所述發(fā)起方需要訪問的目標(biāo)資源，獲取目標(biāo)資源相關(guān)聯(lián)的訪問控制策略，其中，特權(quán)信息用于表示發(fā)起方在訪問控制過程能夠使用的特權(quán)；

S103、PDP實體根據(jù)訪問控制策略和所述特權(quán)信息，評估訪問控制決策請求，并將評估結(jié)果攜帶訪問控制決策響應(yīng)中返回給PEP實體，以使PEP實體根據(jù)所述評估結(jié)果執(zhí)行資源訪問。

本發(fā)明實施例中，PDP實體接收PEP實體發(fā)送的訪問控制決策請求后，根據(jù)訪問控制決策請求攜帶的令牌信息獲取該令牌信息對應(yīng)的訪問令牌中的特 權(quán)信息，根據(jù)訪問控制決策請求攜帶的發(fā)起方需要訪問的目標(biāo)資源獲取目標(biāo)資源相關(guān)聯(lián)的訪問控制策略，之后根據(jù)訪問控制策略和特權(quán)信息，對訪問控制決策請求進行評估，以確定是否允許發(fā)起方對目標(biāo)資源的訪問，從而實現(xiàn)了基于訪問令牌的訪問控制過程。

可選的，PDP實體根據(jù)訪問控制策略和所述特權(quán)信息，評估所述訪問控制決策請求之前，還包括：PDP實體驗證所述令牌信息對應(yīng)的訪問令牌的有效性；

PDP實體根據(jù)訪問控制策略和所述特權(quán)信息，評估所述訪問控制決策請求，包括：PDP實體在確定所述令牌信息對應(yīng)的訪問令牌有效后，根據(jù)訪問控制策略和所述特權(quán)信息，評估所述訪問控制決策請求。

在實施中，PDP實體驗證訪問令牌的有效性包括：該訪問令牌是否是由合法的令牌頒發(fā)實體頒發(fā)的，該訪問令牌是否仍在有效期內(nèi)，該訪問令牌的所有者標(biāo)識是否與資源訪問請求中的發(fā)起方標(biāo)識相同，該訪問令牌中攜帶的特權(quán)是否適用于所訪問的目標(biāo)資源等。若通過這些驗證，則根據(jù)訪問控制策略和所述特權(quán)信息評估所述訪問控制決策請求。

本發(fā)明實施例中，訪問控制決策請求攜帶的令牌信息可以為訪問令牌本身，還可以是訪問令牌的標(biāo)識信息。

可選的，若令牌信息為訪問令牌的標(biāo)識信息，PDP實體接收PEP實體發(fā)送的訪問控制決策請求之后，還包括：

PDP實體從發(fā)起方關(guān)聯(lián)的令牌資源中，獲取訪問令牌或特權(quán)信息；或者

PDP實體通過PIP實體，從令牌資源中獲取訪問令牌或特權(quán)信息。

具體的，若令牌信息為訪問令牌的標(biāo)識信息，則PDP實體可以直接利用該標(biāo)識信息從發(fā)起方相關(guān)聯(lián)的資源中的<token>資源中獲取令牌值(tokenValue)屬性中的訪問令牌或特權(quán)信息。PDP實體也可以通過PIP實體獲取令牌值(tokenValue)中的訪問令牌或特權(quán)信息，即由PIP實體查詢發(fā)起方相關(guān)聯(lián)的資源中的<token>資源，并從<token>資源的tokenValue屬性中獲取所需的訪問令牌或特權(quán)信息，然后由PIP實體將獲取到的訪問令牌或特權(quán)信息 發(fā)送給PDP實體。

基于同一發(fā)明構(gòu)思，本發(fā)明實施例提供的一種PEP實體側(cè)的訪問控制方法，與PDP實體側(cè)相同的部分具體參見圖10所示實施例中的相關(guān)描述，此處不再贅述，如圖11所示，所述方法包括：

S111、PEP實體向PDP實體發(fā)送訪問控制決策請求，其中，所述訪問控制決策請求是根據(jù)發(fā)起方的資源訪問請求生成的，所述訪問控制決策請求包含所述資源訪問請求中攜帶的發(fā)起方的令牌信息；

S112、PEP實體接收PDP實體返回的訪問控制決策響應(yīng)，并根據(jù)訪問控制決策響應(yīng)中攜帶的評估結(jié)果執(zhí)行資源訪問，其中，評估結(jié)果是PDP實體基于發(fā)起方需要訪問的目標(biāo)資源相關(guān)聯(lián)的訪問控制策略和令牌信息對應(yīng)的訪問令牌中的特權(quán)信息得到的。

本發(fā)明實施例中，PEP實體向PDP實體發(fā)送訪問控制決策請求時，攜帶發(fā)起方的令牌信息，以使PDP實體根據(jù)訪問控制決策請求攜帶的令牌信息獲取該令牌信息對應(yīng)的訪問令牌中的特權(quán)信息，根據(jù)訪問控制決策請求攜帶的發(fā)起方需要訪問的目標(biāo)資源獲取目標(biāo)資源相關(guān)聯(lián)的訪問控制策略，之后根據(jù)訪問控制策略和特權(quán)信息，對PEP實體的訪問控制決策請求進行評估，以確定是否允許發(fā)起方對目標(biāo)資源的訪問，從而實現(xiàn)了基于訪問令牌的訪問控制過程。

下面從各實體之間的交互過程，對本發(fā)明實施例提供的訪問令牌的頒發(fā)方法和訪問控制方法進行詳細說明。各實體之間的連接關(guān)系如圖12所示，其交互過程如圖13所示，包括：

步驟1：作為訪問控制發(fā)起方(Originator)的AE或CSE向令牌頒發(fā)實體發(fā)送訪問令牌申請請求，其中，該請求中包含有令牌特權(quán)的描述信息，例如發(fā)起方想要進行的資源訪問或期望申請的角色等。

步驟2：若令牌頒發(fā)實體不能根據(jù)本地授權(quán)策略確定是否同意發(fā)起方的訪問令牌申請，則需要向某個外部特權(quán)授權(quán)功能(Privilege Authorization Function)實體進行查詢，以確定發(fā)起方是否可以擁有其所申請的特權(quán)。

步驟3：特權(quán)授權(quán)功能實體返回令牌頒發(fā)實體所需的授權(quán)策略或授權(quán)決策。

步驟4：若同意發(fā)起方的令牌申請，則令牌頒發(fā)實體頒發(fā)相應(yīng)的訪問令牌，其中包含有tokenID，holderID，issuer，startTime，expiryTime，tokenType，tokenName，appCategory，privileges等令牌屬性信息。

步驟5：令牌頒發(fā)實體向注冊響應(yīng)CSE(Registrar CSE)發(fā)送令牌資源創(chuàng)建請求，以請求Registrar CSE在發(fā)起方(Originator)的注冊資源中創(chuàng)建令牌資源，該請求中包含有創(chuàng)建<token>資源所需的tokenID，holderID，issuer，startTime，expiryTime，tokenType，tokenName，appCategory和accessToken等屬性的值。

其中，Registrar CSE，即注冊響應(yīng)CSE，發(fā)起方(Originator)注冊至該CSE，也即Originator的注冊資源創(chuàng)建于該CSE中。在Registrar CSE中，AE的注冊資源為<AE>資源，CSE的注冊資源為<remoteCSE>資源，基礎(chǔ)設(shè)施節(jié)點CSE(IN-CSE)的令牌資源存儲在其<CSEBase>資源下。

步驟6：Registrar CSE接收到令牌頒發(fā)實體發(fā)送的令牌資源創(chuàng)建請求后做如下處理：

檢查與目標(biāo)AE/CSE資源相關(guān)聯(lián)的訪問控制策略，確定Originator是否有權(quán)創(chuàng)建<token>資源。若允許，則根據(jù)令牌資源創(chuàng)建請求所提供的屬性值創(chuàng)建所請求的<token>資源。

步驟7：Registrar CSE將操作結(jié)果發(fā)送給令牌頒發(fā)實體。

步驟8：令牌頒發(fā)實體將訪問令牌的頒發(fā)結(jié)果發(fā)送給Originator。

步驟9：Originator(AE/CSE)向Registrar CSE中其注冊資源發(fā)送<token>資源讀取請求，以便獲取已頒發(fā)給該Originator的令牌信息。

步驟10：Registrar CSE將Originator所擁有的令牌以令牌信息列表的方式發(fā)送給Originator。

步驟11：Originator利用當(dāng)前資源訪問所屬的應(yīng)用類別與令牌的應(yīng)用類別進行比較，選擇適用的訪問令牌，然后向Hosting CSE中的目標(biāo)資源發(fā)送資源 操作請求，并將所選擇的訪問令牌的令牌信息附著在該請求中。

其中，Hosting CSE，即宿主CSE，Originator想要訪問的目標(biāo)資源存在該Hosting CSE的資源樹中。在實際應(yīng)用中Registrar CSE和Hosting CSE既可以為同一個CSE，也可以是不同的CSE。

步驟12：Hosting CSE中的PEP實體根據(jù)Originator發(fā)送的資源訪問請求生成訪問控制決策請求，其中包含有Originator提供的令牌信息，然后將該請求發(fā)送給PDP實體。

步驟13：若發(fā)起方提供了訪問令牌本身，則直接執(zhí)行步驟15；若發(fā)起方僅提供了令牌標(biāo)識(tokenID)，則PDP實體需要利用令牌標(biāo)識從Originator的注冊資源中的<token>資源中獲取訪問令牌(tokenValue)。

具體的，該訪問令牌獲取過程既可以通過PIP實體，然后由PIP實體查詢該Originator的注冊資源中的<token>資源，獲取所需的訪問令牌，并反饋給PDP實體，也可以由PDP實體直接進行相關(guān)的操作。

步驟14：Registrar CSE將查詢到的訪問令牌發(fā)送給PIP實體，然后由PIP實體發(fā)送給PDP實體，或者直接發(fā)送給PDP實體。

步驟15：PDP實體驗證訪問令牌的有效性，包括：訪問令牌是否是由合法的令牌頒發(fā)機構(gòu)實體的，是否仍在有效期內(nèi)，令牌所有者標(biāo)識是否與資源訪問請求中的發(fā)起方標(biāo)識相同，訪問令牌中攜帶的特權(quán)是否適用于所訪問的資源等。若通過這些檢查，則進下一步。

步驟16：利用訪問控制策略和發(fā)起方的特權(quán)信息評估PEP實體發(fā)送的訪問控制決策請求。

步驟17：PDP實體將評估結(jié)果通過訪問控制決策響應(yīng)發(fā)送PEP實體。

步驟18：PEP實體接收到訪問控制決策響應(yīng)后，檢查發(fā)起方的資源訪問請求是否被允許，若允許，則執(zhí)行發(fā)起方的資源訪問請求。

步驟19：PEP實體將執(zhí)行結(jié)果發(fā)送給Originator。

下面通過一個具體實施例，從各實體的交互過程，對本發(fā)明實施例提供的 訪問令牌的頒發(fā)方法和訪問控制方法進行詳細說明。

實施例一、本實施例描述的是oneM2M應(yīng)用服務(wù)提供商(oneM2M Application Service Provider)通過oneM2M服務(wù)商(oneM2M Service Provider)提供的平臺讀取存儲在家庭網(wǎng)關(guān)(Home Gateway)中的數(shù)據(jù)。本實施例采用了基于訪問令牌的訪問控制機制，訪問令牌中存儲的特權(quán)信息為有訪問目標(biāo)資源所需的角色。參與本實施例的各實體之間的連接關(guān)系如圖14所示，其中：

CSE1為oneM2M服務(wù)提供商基礎(chǔ)設(shè)施節(jié)點(Infrastructure Node)中的CSE(IN-CSE)；CSE2為一個oneM2M應(yīng)用服務(wù)節(jié)點(Application Service Node)中的CSE(ASN-CSE)，令牌頒發(fā)實體可通過CSE2向AE或CSE頒發(fā)訪問令牌，且CSE2具有在CSE1中創(chuàng)建<token>資源的特權(quán)；CSE3為存在于一個家庭網(wǎng)關(guān)(Home Gateway)中的oneM2M應(yīng)用服務(wù)節(jié)點中的CSE(ASN-CSE)。其中存儲有智能電表數(shù)據(jù)(Smart Meter Data)，讀取Smart Meter Data需要具有數(shù)據(jù)采集角色(Data Collection Role)，該角色的標(biāo)識為roleID＝ROLE1234；該應(yīng)用類別為12，也即appCategory＝12；AE1為注冊至CSE1的AE，oneM2M應(yīng)用服務(wù)提供商可通過AE1訪問CSE3中的資源。

CSE1中與本實施例相關(guān)的資源樹如圖15所示，包括：<CSEBase>資源，CSE1資源樹的根節(jié)點；<AE1>資源，AE1成功注冊至CSE1后的注冊資源；<token>資源，CSE2在<AE1>中創(chuàng)建的子資源，表示一個賦給AE1的訪問令牌，其中描述了tokenID，issuer，startTime，expiryTime，tokenType，tokenName，appCategory和tokenValue等資源屬性信息。

訪問令牌的頒發(fā)和使用過程包括：預(yù)配置過程、頒發(fā)和使用過程，具體描述如下：

訪問令牌預(yù)配置過程包括：

步驟0.1：oneM2M應(yīng)用服務(wù)提供商AE1注冊至oneM2M服務(wù)提供商的IN-CSE(CSE1)中。

步驟0.2：令牌頒發(fā)實體通過CSE2向PDP實體提供用于驗證其所頒發(fā)的 訪問令牌的安全憑證，也即用于驗證其所簽發(fā)的訪問令牌的公鑰證書。

訪問令牌的頒發(fā)和使用過程，如圖16所示，具體如下：

步驟1：訪問發(fā)起方AE1向令牌頒發(fā)實體(即CSE2)發(fā)送訪問令牌申請請求，該請求中包含有令牌特權(quán)描述信息，本實施例為智能電表數(shù)據(jù)采集(Smart Meter Data Collection)。

步驟2：因令牌授權(quán)實體不能根據(jù)本地存儲的授權(quán)策略確定是否同意該訪問令牌申請請求，因此其將AE1發(fā)送的令牌特權(quán)描述信息轉(zhuǎn)發(fā)給可以處理此項任務(wù)的某個特權(quán)授權(quán)功能。

步驟3：這里假設(shè)特權(quán)授權(quán)功能是一個由房屋所有人參與的特權(quán)授權(quán)過程，此時特權(quán)授權(quán)功能將AE1的請求呈現(xiàn)給房屋所有人，并由房屋所有人確定是否同意該請求。這里假設(shè)房屋所有人給出的決策是“同意”，因此特權(quán)授權(quán)功能向令牌頒發(fā)實體發(fā)出同意該項授權(quán)的響應(yīng)。

步驟4：若同意發(fā)起方的訪問令牌申請請求，則令牌頒發(fā)實體頒發(fā)相應(yīng)的訪問令牌，其中包含有tokenID＝TOKEN1234，holderID＝AE1，issuer＝CSE2，startTime＝2015.10.01，expiryTime＝2016.10.10，tokenType＝10，tokenName＝智能電表數(shù)據(jù)采集令牌(Smart Meter Data Collection Token)，appCategory＝12，privileges＝{roleID＝ROLE1234}等令牌屬性信息。這里假設(shè)tokenType＝10表示privileges屬性中存儲有角色信息。

步驟5：CSE2向注冊響應(yīng)CSE(即CSE1)請求在CSE1中發(fā)起方(Originator)AE1的注冊資源(即<AE1>資源)創(chuàng)建<token>資源，該請求中包含有tokenID＝TOKEN1234，holderID＝AE1，Issuer＝CSE2，startTime＝2015.10.01，expiryTime＝2016.10.10，tokenType＝10，tokenName＝Smart Home Data Collection Token，appCategory＝12，tokenValue＝E8F852AE5B...等創(chuàng)建該令牌資源所需的資源屬性的值。

步驟6：CSE1接收到CSE2發(fā)送的資源操作請求后，首先檢查并確認CSE2具有在<AE1>資源下創(chuàng)建<token>資源的特權(quán)，然后利用CSE2提供的資源屬性 創(chuàng)建所請求的<token>資源。

步驟7：CSE1將資源創(chuàng)建成功的操作結(jié)果發(fā)送給CSE2。

步驟8：CSE2將訪問令牌頒發(fā)成功的操作結(jié)果發(fā)送給AE1。

步驟9：AE1讀取CSE1中該AE1的注冊資源，以便獲取已頒發(fā)給它的令牌信息。

步驟10：CSE1將AE1所擁有的訪問令牌以令牌信息列表的方式發(fā)送給AE1，其中，令牌信息包括tokenID，holderID，issuer，startTime，expiryTime，tokenType，tokenName，appCategory和tokenValue等令牌屬性的值。

步驟11：AE1當(dāng)前資源訪問所屬的應(yīng)用類別為“12”，據(jù)此AE1選擇tokenID＝TOKEN1234的訪問令牌，因為該訪問令牌的appCategory＝12。AE1向CSE3中的目標(biāo)資源發(fā)送資源訪問請求，并將所選擇的訪問令牌的令牌信息附著在該請求中。

步驟12：CSE3中的PEP實體根據(jù)AE1發(fā)送的資源訪問請求生成訪問控制決策請求，其中該請求中包含有AE1提供的令牌信息，然后將該請求發(fā)送給PDP實體。

步驟13：PDP實體驗證訪問令牌的有效性，包括：訪問令牌是否是由合法的令牌頒發(fā)實體頒發(fā)的，是否仍在有效期內(nèi)，令牌所有者標(biāo)識是否與資源訪問請求中的發(fā)起方標(biāo)識相同，訪問令牌中攜帶的特權(quán)是否適用于所訪問的資源等。若通過這些檢查，則進下一步。

步驟13：PDP實體接收到PEP實體發(fā)送的訪問控制決策請求后，首先利用CSE2提供的安全憑證(公鑰證書)驗證收到訪問令牌確實為CSE2所頒發(fā)，通過驗證后，繼續(xù)通過holderID屬性驗證該訪問令牌屬于AE1，通過startTime和expiryTime驗證該訪問令牌仍在有效期內(nèi)，通過appCategory驗證訪問令牌中所攜帶的特權(quán)信息適用于其所訪問的目標(biāo)資源，通過這些驗證后，CSE3根據(jù)tokenType＝10知道訪問令牌攜帶的特權(quán)信息是角色信息，然后其從訪問令牌的privileges屬性中提取出roleID＝ROLE1234的角色信息。

步驟14：PDP實體從PRP實體獲取適用的訪問控制策略，并利用訪問控制策略和請求發(fā)起方提供的角色信息評估發(fā)起方的資源訪問請求，其中，訪問控制策略描述roleID＝ROLE1234的數(shù)據(jù)采集角色(Data Collection Role)具有Smart Meter Data數(shù)據(jù)讀取權(quán)限，所以基于訪問控制策略和角色信息的評估結(jié)果是“同意AE1的資源訪問”。

步驟15：PDP實體將評估結(jié)果通過訪問控制決策響應(yīng)發(fā)送PEP實體。

步驟16：因AE1的資源訪問請求被允許，所以PEP實體執(zhí)行AE1所請求的Smart Meter Data數(shù)據(jù)讀取功能。

步驟17：PEP實體將執(zhí)行結(jié)果發(fā)送AE1。

上述方法處理流程可以用軟件程序?qū)崿F(xiàn)，該軟件程序可以存儲在存儲介質(zhì)中，當(dāng)存儲的軟件程序被調(diào)用時，執(zhí)行上述方法步驟。

基于同一發(fā)明構(gòu)思，本發(fā)明實施例中還提供了一種發(fā)起方，由于該發(fā)起方解決問題的原理與上述圖7所示的一種訪問令牌頒發(fā)方法相似，因此該發(fā)起方的實施可以參見方法的實施，重復(fù)之處不再贅述。

本發(fā)明實施例提供的一種發(fā)起方，如圖17所示，包括：

發(fā)送模塊171，用于向令牌頒發(fā)實體發(fā)送訪問令牌申請請求，其中，所述訪問令牌申請請求用于請求所述令牌頒發(fā)實體為所述發(fā)起方在訪問控制過程需要使用的特權(quán)頒發(fā)訪問令牌；

接收模塊172，用于接收所述令牌頒發(fā)實體返回的訪問令牌申請響應(yīng)，以確定訪問令牌是否頒發(fā)成功。

可選的，所述發(fā)起方還包括：令牌獲取模塊173，用于從與所述發(fā)起方關(guān)聯(lián)的令牌資源中，獲取所述訪問令牌或者所述訪問令牌中的特權(quán)信息，其中，所述特權(quán)信息用于表示發(fā)起方在訪問控制過程能夠使用的特權(quán)。

基于同一發(fā)明構(gòu)思，本發(fā)明實施例中還提供了一種令牌頒發(fā)實體，由于該令牌頒發(fā)實體解決問題的原理與上述圖8所示的一種訪問令牌頒發(fā)方法相似，因此該令牌頒發(fā)實體的實施可以參見方法的實施，重復(fù)之處不再贅述。

本發(fā)明實施例提供的一種令牌頒發(fā)實體，如圖18所示，包括：

第一接收模塊181，用于接收發(fā)起方發(fā)送的訪問令牌申請請求，其中，所述訪問令牌申請請求用于請求所述令牌頒發(fā)實體為所述發(fā)起方在訪問控制過程需要使用的特權(quán)頒發(fā)訪問令牌；

令牌頒發(fā)模塊182，用于根據(jù)所述訪問令牌申請請求，生成訪問令牌；

第一發(fā)送模塊183，用于向公共服務(wù)實體CSE發(fā)送令牌資源創(chuàng)建請求，以請求所述CSE為所述訪問令牌創(chuàng)建與所述發(fā)起方關(guān)聯(lián)的令牌資源；

第二接收模塊184，用于接收所述CSE返回的令牌資源創(chuàng)建響應(yīng)，以確定所述CSE是否已完成所述令牌資源的創(chuàng)建；

第二發(fā)送模塊185，用于向所述發(fā)起方返回訪問令牌申請響應(yīng)，以通知所述發(fā)起方所述訪問令牌是否頒發(fā)成功。

可選的，令牌頒發(fā)模塊182還用于：根據(jù)本地保存的授權(quán)策略，確定是否同意所述發(fā)起方發(fā)送的訪問令牌申請請求；或者通過特權(quán)授權(quán)功能實體，確定是否同意所述發(fā)起方發(fā)送的訪問令牌申請請求。

可選的，第一發(fā)送模塊183還用于：向所述CSE發(fā)送令牌資源修改請求，其中，所述令牌資源修改請求中攜帶所述令牌頒發(fā)實體重新為所述發(fā)起方頒發(fā)的訪問令牌；

第二接收模塊184還用于：接收所述CSE發(fā)送的令牌資源修改響應(yīng)，以確定所述CSE是否已完成令牌資源的修改。

基于同一發(fā)明構(gòu)思，本發(fā)明實施例中還提供了一種令牌頒發(fā)實體，由于該令牌頒發(fā)實體解決問題的原理與上述圖9所示的一種訪問令牌頒發(fā)方法相似，因此該令牌頒發(fā)實體的實施可以參見方法的實施，重復(fù)之處不再贅述。

本發(fā)明實施例提供的一種公共服務(wù)實體CSE，如圖19所示，包括：

接收模塊191，用于接收令牌頒發(fā)實體發(fā)送的令牌資源創(chuàng)建請求，其中，所述令牌資源創(chuàng)建請求用于請求所述CSE為所述令牌頒發(fā)實體頒發(fā)的訪問令牌創(chuàng)建令牌資源；

資源創(chuàng)建模塊192，用于根據(jù)令牌資源創(chuàng)建請求，創(chuàng)建與發(fā)起方關(guān)聯(lián)的令牌資源；

發(fā)送模塊193，用于向所述令牌頒發(fā)實體返回令牌資源創(chuàng)建響應(yīng)，以通知所述令牌頒發(fā)實體所述CSE是否已完成所述令牌資源的創(chuàng)建。

可選的，所述資源創(chuàng)建模塊192具體用于：

根據(jù)與所述令牌頒發(fā)實體關(guān)聯(lián)的訪問控制策略，確定所述令牌頒發(fā)實體是否有權(quán)創(chuàng)建令牌資源；在確定所述令牌頒發(fā)實體有權(quán)創(chuàng)建令牌資源時，根據(jù)令牌資源創(chuàng)建請求，創(chuàng)建所述令牌資源。

可選的，接收模塊191還用于：接收所述令牌頒發(fā)實體發(fā)送的令牌資源修改請求其中，其中，所述令牌資源修改請求中攜帶所述令牌頒發(fā)實體重新為所述發(fā)起方頒發(fā)的訪問令牌；

資源創(chuàng)建模塊192還用于：根據(jù)所述令牌資源修改請求，對需要修改的令牌資源進行修改；

發(fā)送模塊193還用于：向所述令牌頒發(fā)實體發(fā)送令牌資源修改響應(yīng)，以通知所述令牌頒發(fā)實體所述CSE是否已完成令牌資源的修改。

基于上述任一實施例，資源創(chuàng)建模塊192具體用于：

確定出與所述發(fā)起方需要訪問的目標(biāo)資源相關(guān)聯(lián)的訪問控制策略，并根據(jù)所述訪問控制策略確定所述發(fā)起方是否有權(quán)創(chuàng)建令牌資源；在確定出所述發(fā)起方有權(quán)創(chuàng)建令牌資源后，根據(jù)令牌資源創(chuàng)建請求，創(chuàng)建所述發(fā)起方關(guān)聯(lián)的令牌資源。

基于同一發(fā)明構(gòu)思，本發(fā)明實施例中還提供了一種PDP實體，由于該PDP實體解決問題的原理與上述圖10所示的一種訪問控制方法相似，因此該PDP實體的實施可以參見方法的實施，重復(fù)之處不再贅述。

本發(fā)明實施例提供的一種PDP實體，如圖20所示，PDP實體包括：

接收模塊201，用于接收策略執(zhí)行點PEP實體發(fā)送的訪問控制決策請求；

獲取模塊202，用于根據(jù)所述訪問控制決策請求攜帶的發(fā)起方的令牌信息， 獲取所述令牌信息對應(yīng)的訪問令牌中的特權(quán)信息，并根據(jù)所述訪問控制決策請求攜帶的所述發(fā)起方需要訪問的目標(biāo)資源，獲取所述目標(biāo)資源相關(guān)聯(lián)的訪問控制策略，其中，所述特權(quán)信息用于表示所述發(fā)起方在訪問控制過程能夠使用的特權(quán)；

評估模塊203，用于根據(jù)訪問控制策略和所述特權(quán)信息，評估所述訪問控制決策請求，并將評估結(jié)果攜帶在訪問控制決策響應(yīng)中返回給所述PEP實體，以使所述PEP實體根據(jù)所述評估結(jié)果執(zhí)行資源訪問。

可選的，所述評估模塊203具體用于：驗證所述令牌信息對應(yīng)的訪問令牌的有效性；在確定所述令牌信息對應(yīng)的訪問令牌有效后，根據(jù)訪問控制策略和所述特權(quán)信息，評估所述訪問控制決策請求。

可選的，若所述令牌信息為所述標(biāo)識信息，獲取模塊202還用于：從所述發(fā)起方關(guān)聯(lián)的令牌資源中，獲取所述訪問令牌或所述特權(quán)信息；或者通過策略信息點PIP實體，從令牌資源中獲取所述訪問令牌或所述特權(quán)信息。

基于同一發(fā)明構(gòu)思，本發(fā)明實施例中還提供了一種PEP實體，由于該PEP實體解決問題的原理與上述圖11所示的一種訪問控制方法相似，因此該PEP實體的實施可以參見方法的實施，重復(fù)之處不再贅述。

本發(fā)明實施例提供的一種PEP實體，如圖21所示，PEP實體包括：

發(fā)送模塊211，用于向策略決策點PDP實體發(fā)送訪問控制決策請求，其中，所述訪問控制決策請求是根據(jù)發(fā)起方的資源訪問請求生成的，所述訪問控制決策請求包含所述資源訪問請求中攜帶的發(fā)起方的令牌信息；

接收模塊212，用于接收所述PDP實體返回的訪問控制決策響應(yīng)；

訪問控制模塊213，用于根據(jù)所述訪問控制決策響應(yīng)中攜帶的評估結(jié)果，執(zhí)行資源訪問。

下面結(jié)合優(yōu)選的硬件結(jié)構(gòu)，以本發(fā)明實施例提供的各實體為服務(wù)器為例，對各實體的結(jié)構(gòu)、處理方式進行說明。

在圖22的實施例中，發(fā)起方包括處理器221、輸入接口222、輸出接口223、 存儲器224和系統(tǒng)總線225；其中：

處理器221負責(zé)邏輯運算和處理。存儲器224包括內(nèi)存和硬盤，可以存儲處理器221在執(zhí)行操作時所使用的數(shù)據(jù)。輸入接口222用于在處理器221的控制下讀入外部設(shè)備傳輸?shù)臄?shù)據(jù)，輸出接口223在處理器221的控制下向外部設(shè)備輸出數(shù)據(jù)。

總線架構(gòu)可以包括任意數(shù)量的互聯(lián)的總線和橋，具體由處理器221代表的一個或多個處理器和存儲器224代表的內(nèi)存和硬盤的各種電路鏈接在一起。總線架構(gòu)還可以將諸如外圍設(shè)備、穩(wěn)壓器和功率管理電路等之類的各種其他電路鏈接在一起，這些都是本領(lǐng)域所公知的，因此，本文不再對其進行進一步描述。

本發(fā)明實施例中，處理器221讀取存儲器224中的程序，以完成圖17所示的令牌獲取模塊173的功能，具體請參見圖17所示的實施例中的相關(guān)描述。

輸入接口222在處理器221的控制下，用以完成圖17所示的接收模塊172的功能，具體請參見圖17所示的實施例中的相關(guān)描述。

輸出接口223在處理器221的控制下，用以完成圖17所示的發(fā)送模塊171的功能，具體請參見圖17所示的實施例中的相關(guān)描述。

在圖23的實施例中，令牌頒發(fā)實體包括處理器231、輸入接口232、輸出接口233、存儲器234和系統(tǒng)總線235；其中：

處理器231負責(zé)邏輯運算和處理。存儲器234包括內(nèi)存和硬盤，可以存儲處理器231在執(zhí)行操作時所使用的數(shù)據(jù)。輸入接口232用于在處理器231的控制下讀入外部設(shè)備傳輸?shù)臄?shù)據(jù)，輸出接口233在處理器231的控制下向外部設(shè)備輸出數(shù)據(jù)。

總線架構(gòu)可以包括任意數(shù)量的互聯(lián)的總線和橋，具體由處理器231代表的一個或多個處理器和存儲器234代表的內(nèi)存和硬盤的各種電路鏈接在一起?？偩€架構(gòu)還可以將諸如外圍設(shè)備、穩(wěn)壓器和功率管理電路等之類的各種其他電路鏈接在一起，這些都是本領(lǐng)域所公知的，因此，本文不再對其進行進一步描述。

本發(fā)明實施例中，處理器231讀取存儲器234中的程序，以完成圖18所 示的令牌頒發(fā)模塊182的功能，具體請參見圖18所示的實施例中的相關(guān)描述。

輸入接口232在處理器231的控制下，用以完成圖18所示的第一接收模塊181和第二接收模塊184的功能，具體請參見圖18所示的實施例中的相關(guān)描述。

輸出接口233在處理器231的控制下，用以完成圖18所示的第一發(fā)送模塊183和第二發(fā)送模塊185的功能，具體請參見圖18所示的實施例中的相關(guān)描述。

在圖24的實施例中，CSE包括處理器241、輸入接口242、輸出接口243、存儲器244和系統(tǒng)總線245；其中：

處理器241負責(zé)邏輯運算和處理。存儲器244包括內(nèi)存和硬盤，可以存儲處理器241在執(zhí)行操作時所使用的數(shù)據(jù)。輸入接口242用于在處理器241的控制下讀入外部設(shè)備傳輸?shù)臄?shù)據(jù)，輸出接口243在處理器241的控制下向外部設(shè)備輸出數(shù)據(jù)。

總線架構(gòu)可以包括任意數(shù)量的互聯(lián)的總線和橋，具體由處理器241代表的一個或多個處理器和存儲器244代表的內(nèi)存和硬盤的各種電路鏈接在一起。總線架構(gòu)還可以將諸如外圍設(shè)備、穩(wěn)壓器和功率管理電路等之類的各種其他電路鏈接在一起，這些都是本領(lǐng)域所公知的，因此，本文不再對其進行進一步描述。

本發(fā)明實施例中，處理器241讀取存儲器244中的程序，以完成圖19所示的資源創(chuàng)建模塊192的功能，具體請參見圖19所示的實施例中的相關(guān)描述。

輸入接口242在處理器241的控制下，用以完成圖19所示的接收模塊191的功能，具體請參見圖19所示的實施例中的相關(guān)描述。

輸出接口243在處理器241的控制下，用以完成圖19所示的發(fā)送模塊193的功能，具體請參見圖19所示的實施例中的相關(guān)描述。

在圖25的實施例中，PDF實體包括處理器251、輸入接口252、輸出接口253、存儲器254和系統(tǒng)總線255；其中：

處理器251負責(zé)邏輯運算和處理。存儲器254包括內(nèi)存和硬盤，可以存儲 處理器251在執(zhí)行操作時所使用的數(shù)據(jù)。輸入接口252用于在處理器251的控制下讀入外部設(shè)備傳輸?shù)臄?shù)據(jù)，輸出接口253在處理器251的控制下向外部設(shè)備輸出數(shù)據(jù)。

總線架構(gòu)可以包括任意數(shù)量的互聯(lián)的總線和橋，具體由處理器251代表的一個或多個處理器和存儲器254代表的內(nèi)存和硬盤的各種電路鏈接在一起。總線架構(gòu)還可以將諸如外圍設(shè)備、穩(wěn)壓器和功率管理電路等之類的各種其他電路鏈接在一起，這些都是本領(lǐng)域所公知的，因此，本文不再對其進行進一步描述。

本發(fā)明實施例中，處理器251讀取存儲器254中的程序，以完成圖20所示的獲取模塊202和評估模塊203的功能，具體請參見圖20所示的實施例中的相關(guān)描述。

輸入接口252在處理器251的控制下，用以完成圖20所示的接收模塊201的功能，具體請參見圖20所示的實施例中的相關(guān)描述。

在圖26的實施例中，PEP實體包括處理器261、輸入接口262、輸出接口263、存儲器264和系統(tǒng)總線265；其中：

處理器261負責(zé)邏輯運算和處理。存儲器264包括內(nèi)存和硬盤，可以存儲處理器261在執(zhí)行操作時所使用的數(shù)據(jù)。輸入接口262用于在處理器261的控制下讀入外部設(shè)備傳輸?shù)臄?shù)據(jù)，輸出接口263在處理器261的控制下向外部設(shè)備輸出數(shù)據(jù)。

總線架構(gòu)可以包括任意數(shù)量的互聯(lián)的總線和橋，具體由處理器261代表的一個或多個處理器和存儲器264代表的內(nèi)存和硬盤的各種電路鏈接在一起。總線架構(gòu)還可以將諸如外圍設(shè)備、穩(wěn)壓器和功率管理電路等之類的各種其他電路鏈接在一起，這些都是本領(lǐng)域所公知的，因此，本文不再對其進行進一步描述。

本發(fā)明實施例中，處理器261讀取存儲器264中的程序，以完成圖21所示的訪問控制模塊213的功能，具體請參見圖21所示的實施例中的相關(guān)描述。

輸入接口262在處理器261的控制下，用以完成圖21所示的接收模塊212的功能，具體請參見圖21所示的實施例中的相關(guān)描述。

本領(lǐng)域內(nèi)的技術(shù)人員應(yīng)明白，本發(fā)明的實施例可提供為方法、系統(tǒng)、或計算機程序產(chǎn)品。因此，本發(fā)明可采用完全硬件實施例、完全軟件實施例、或結(jié)合軟件和硬件方面的實施例的形式。而且，本發(fā)明可采用在一個或多個其中包含有計算機可用程序代碼的計算機可用存儲介質(zhì)(包括但不限于磁盤存儲器、CD-ROM、光學(xué)存儲器等)上實施的計算機程序產(chǎn)品的形式。

本發(fā)明是參照根據(jù)本發(fā)明實施例的方法、設(shè)備(系統(tǒng))、和計算機程序產(chǎn)品的流程圖和/或方框圖來描述的。應(yīng)理解可由計算機程序指令實現(xiàn)流程圖和/或方框圖中的每一流程和/或方框、以及流程圖和/或方框圖中的流程和/或方框的結(jié)合?？商峁┻@些計算機程序指令到通用計算機、專用計算機、嵌入式處理機或其他可編程數(shù)據(jù)處理設(shè)備的處理器以產(chǎn)生一個機器，使得通過計算機或其他可編程數(shù)據(jù)處理設(shè)備的處理器執(zhí)行的指令產(chǎn)生用于實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的裝置。

這些計算機程序指令也可存儲在能引導(dǎo)計算機或其他可編程數(shù)據(jù)處理設(shè)備以特定方式工作的計算機可讀存儲器中，使得存儲在該計算機可讀存儲器中的指令產(chǎn)生包括指令裝置的制造品，該指令裝置實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能。

這些計算機程序指令也可裝載到計算機或其他可編程數(shù)據(jù)處理設(shè)備上，使得在計算機或其他可編程設(shè)備上執(zhí)行一系列操作步驟以產(chǎn)生計算機實現(xiàn)的處理，從而在計算機或其他可編程設(shè)備上執(zhí)行的指令提供用于實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的步驟。

盡管已描述了本發(fā)明的優(yōu)選實施例，但本領(lǐng)域內(nèi)的技術(shù)人員一旦得知了基本創(chuàng)造性概念，則可對這些實施例作出另外的變更和修改。所以，所附權(quán)利要求意欲解釋為包括優(yōu)選實施例以及落入本發(fā)明范圍的所有變更和修改。

顯然，本領(lǐng)域的技術(shù)人員可以對本發(fā)明進行各種改動和變型而不脫離本發(fā)明的精神和范圍。這樣，倘若本發(fā)明的這些修改和變型屬于本發(fā)明權(quán)利要求及其等同技術(shù)的范圍之內(nèi)，則本發(fā)明也意圖包含這些改動和變型在內(nèi)。